隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、人工智能等技術的蓬勃發(fā)展，以數(shù)據(jù)為核心的智能化革命正在成為產(chǎn)業(yè)轉型升級的新動力和新引擎，大量高價值數(shù)據(jù)資產(chǎn)源源不斷產(chǎn)生，數(shù)據(jù)泄漏風險日益凸顯。據(jù)美國Verizon 2020年《數(shù)據(jù)泄露調查報告》統(tǒng)計，70%的數(shù)據(jù)泄漏是由于擁有數(shù)據(jù)訪問權限的內部人員竊取、濫用造成的。

　　近年來，國家不斷加強數(shù)據(jù)司法保護，《網(wǎng)絡安全法》、《數(shù)據(jù)安全保護法》、《個人信息保護法》等相繼出臺實施，數(shù)據(jù)安全保護法律法規(guī)日益完善。如何避免內部人員泄漏敏感數(shù)據(jù)以及滿足法律合規(guī)要求，現(xiàn)已成為各企業(yè)在安全管理中的主要威脅與工作重點，企業(yè)組織對融合行為分析能力數(shù)據(jù)防泄漏應用的需求大幅提升?；谏鲜霰尘?，發(fā)布本期牛品推薦——明朝萬達：基于UEBA的數(shù)據(jù)防泄漏解決方案。

　　牛品推薦

　　第三十三期

　　標簽

　　01

　　數(shù)據(jù)安全、數(shù)據(jù)防泄漏、用戶與實體行為分析、行為管控

　　用戶痛點

　　02

　　1、海量事件難于應對

　　根據(jù)思科的一份調查報告，77%的中型企業(yè)發(fā)現(xiàn)，從數(shù)量繁多的安全解決方案中找出真正有價值的安全警報非常困難。

　　2、惡意人員難以防范

　　心懷惡意的內鬼、失陷賬號與失陷主機導致的各種數(shù)據(jù)泄露手段不斷升級，網(wǎng)絡犯罪分子也在不斷提升專業(yè)竊取技術，意圖突破數(shù)據(jù)防泄漏產(chǎn)品安全防線。

　　3、潛在風險無法識別

　　傳統(tǒng)DLP無法進行組合式深度分析，也缺少多角度全景呈現(xiàn)，單憑客戶自身，很難從中真正發(fā)現(xiàn)惡意人員與實體。

　　解決方案

　　03

　　針對傳統(tǒng)DLP基于規(guī)則匹配的工作模式，無法發(fā)現(xiàn)未知風險，靈活性欠佳，存在誤報等問題。明朝萬達數(shù)據(jù)防泄漏系統(tǒng)利用UEBA（用戶和實體行為分析）技術，對每個用戶建立模型，多維度統(tǒng)計用戶歷史基線、部門歷史基線及群組歷史基線，實時檢測用戶偏離基線的行為。針對出現(xiàn)的統(tǒng)計指標異常、時序異常、模式異常等異常行為，采用深度學習算法進行異常行為檢測，多維度動態(tài)評估全網(wǎng)用戶數(shù)據(jù)泄漏的風險值。

　　基于規(guī)則匹配的傳統(tǒng)DLP轉向基于行為分析的增強DLP

　　基于行為分析的明朝萬達數(shù)據(jù)防泄漏系統(tǒng)可實現(xiàn)對企業(yè)數(shù)據(jù)資產(chǎn)使用情況的事前預測、事中阻斷、事后溯源全閉環(huán)管控。

　　1、事前預測

　　利用深度學習技術，檢測與其行為相似的個體并進行全網(wǎng)風險評估?？墒虑皩ξ粗獢?shù)據(jù)泄漏風險進行有效預警，克服了傳統(tǒng)DLP基于模式匹配只能應對內部人員正在發(fā)生泄漏事件的局限。

　　2、事中阻斷

　　由明朝萬達安全策略專家依據(jù)經(jīng)驗積累和客戶場景制定一系列保護企業(yè)核心數(shù)據(jù)資產(chǎn)的防泄漏策略，并可根據(jù)變化的內部用戶風險值，動態(tài)調整相應策略，一旦發(fā)現(xiàn)用戶行為超出可信區(qū)間，即可自動實施阻斷等措施，大大降低了數(shù)據(jù)泄漏事件的誤報率。

　　3、事后溯源

　　依托明朝萬達部署在云端的數(shù)據(jù)泄露監(jiān)測平臺，實時感知暗網(wǎng)、網(wǎng)盤文庫、代碼托管、群聊論壇等渠道企業(yè)數(shù)據(jù)分布情況，第一時間發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)泄露風險?？陕?lián)動企業(yè)內部DLP平臺，進行溯源分析，還原泄露場景，找出可疑用戶與實體，生成數(shù)據(jù)泄露報告并通知企業(yè)管理員，在實際場景中真正起到對內部數(shù)據(jù)泄漏的防范作用。

　　數(shù)據(jù)防泄漏整體解決方案

　　應用場景介紹

　　某待離職人員，已知曉其所在企業(yè)部署了數(shù)據(jù)防泄漏系統(tǒng)，該人員將內部數(shù)據(jù)通過拆解的形式，少量多次外發(fā)，試圖繞過安全策略。基于行為分析的數(shù)據(jù)防泄漏整體解決方案，依據(jù)該人員歷史外發(fā)基線、部門歷史外發(fā)基線、群組歷史外發(fā)基線和內置場景模型，發(fā)現(xiàn)該人員最近頻繁瀏覽招聘網(wǎng)站，存在外發(fā)簡歷情況，根據(jù)系統(tǒng)分析，多維動態(tài)評估判定該人員有惡意外發(fā)數(shù)據(jù)行為，立即調整策略，實行定向阻斷。并對已經(jīng)外發(fā)的數(shù)據(jù)實行全網(wǎng)監(jiān)測溯源，后發(fā)現(xiàn)某百度文庫內出現(xiàn)部分高度同源數(shù)據(jù)，立即將相關信息生成數(shù)據(jù)泄露報告發(fā)送至所屬企業(yè)郵箱。后經(jīng)查證，此用戶在有了離職意愿后把企業(yè)內部技術資料同步至百度網(wǎng)盤。

　　通常企業(yè)為了保證業(yè)務的連續(xù)性，既定的策略往往很寬松，無法發(fā)現(xiàn)該緩慢泄漏行為。部分DLP廠商針對這種情況，支持判定一定時間內，人員外發(fā)數(shù)據(jù)總量是否達到既定閾值，但這種檢測效果很大程度上依賴于人為設定閾值的合理性，并且僅僅依賴外發(fā)數(shù)據(jù)閾值單一特征不足以判定其行為異常，存在一定的誤報率。最為嚴重的是，無法對已經(jīng)泄露的部分數(shù)據(jù)進行全網(wǎng)溯源，泄露數(shù)據(jù)是否已經(jīng)發(fā)生了擴散，程度如何都無從知曉。明朝萬達的數(shù)據(jù)防泄漏解決方案，通過將UEBA于DLP進一步結合，進一步實現(xiàn)了對諸如上述實際場景中的內部數(shù)據(jù)泄漏問題的防護預警，保證了企業(yè)的數(shù)據(jù)安全。

　　用戶反饋

　　04

　　將用戶實體行為分析（UEBA）應用到數(shù)據(jù)防泄漏領域，明朝萬達是屬于最早能夠落地的產(chǎn)品供應商之一。

　　——某安全行業(yè)協(xié)會負責人

　　明朝萬達的數(shù)據(jù)防泄漏產(chǎn)品技術思路新穎，實施服務能力最好，解決了其它產(chǎn)品無法解決的問題。

　　——某銀行科技部門負責人

　　明朝萬達始終堅持以客戶實際訴求為己任，在數(shù)據(jù)防泄漏技術、流程、服務上不斷創(chuàng)新，始終堅持交付客戶的產(chǎn)品能發(fā)揮真正的價值。

　　——某高校網(wǎng)絡空間安全學院院長

　　安全牛評

　　數(shù)據(jù)泄露的風險一方面來自于外部的竊取，另一方面也可能來自于內部的有意或無意的泄露。傳統(tǒng)的DLP產(chǎn)品更多的是發(fā)現(xiàn)獨立事件，無法將多事件以整體的方式呈現(xiàn)。而UEBA技術的優(yōu)勢在于，將關注點聚焦于行為主體，不僅是對泄露事件告警，更是通過對行為主題畫像評分，起到預警的作用。UEBA技術讓DLP更加智能化，這就減少了人的行為干擾，內部人員的主觀惡意行為也能被監(jiān)測到。UEBA與DLP結合將為已經(jīng)趨于成熟的DLP產(chǎn)品提供新的研發(fā)方向，綜合提升DLP產(chǎn)品的實用性。

　　明朝萬達的DLP產(chǎn)品可以認為是一個體系，完成了整體的事前、事中、事后的綜合防護處置流程，及時有效的在海量數(shù)據(jù)中發(fā)現(xiàn)數(shù)據(jù)泄露風險，并快速處置的同時，對未來的泄露風險提高預測能力。